La norma ISO 27001 es uno de los más populares y reconocidos marcos de buenas prácticas que existen actualmente gracias a sus altos estándares de construcción y aplicación. Por este motivo, en esta entrada profundizaremos en los aspectos más relevantes de este modelo de referencia y su masiva relevancia en el mundo de la seguridad IT.
Los marcos de buenas prácticas de seguridad en ambientes tecnológicos son todas aquellos modelos tomados por los departamentos de seguridad informática de ciertas organizaciones como guía de referencia para la implementación de una serie de prácticas que les permitan gestionar de mejor forma el uso de las tecnologías de la información. Esto con el fin de proveer un alto nivel de protección a su infraestructura crítica.
¿En qué consiste la norma ISO 27001?
La Organización Internacional de Estandarización (ISO, International Standarization Organization en inglés) ha creado la norma ISO 27001 con el objeto de ofrecer una norma viable y óptima para promover la correcta gestión de servicios de las tecnologías de la información (ITSM).
En consecuencia el marco ISO 27001 toma la evaluación de riesgos como eje central para así ofrecer una metodología estandarizada que permita a la organización valorar su nivel de seguridad informática.
¿Cómo está compuesto este marco de buenas prácticas?
Las etapas o fases de la metodología aportada por la norma ISO 27001 consisten en:
Visibilizar los activos
En esta etapa se clasifica como activo todo lo que representa un valor para la organización como estructuras físicas (edificios o equipamento), digitales (documentación y proyectos) y virtuales (reputación e impacto de marca).
Luego de la clasificación es necesario llevar a cabo las siguientes actividades para cada uno de los activos:
- Identificar amenazas: Una amenaza es todo lo que puede dañar la integridad de un activo o la información que gestiona
- Reconocer vulnerabilidades: Las vulnerabilidades son todo lo que hace susceptible de daños a un activo o la información que gestiona.
- Contemplar requisitos legales: Estos requisitos son las responsabilidades que la organización tiene con terceros como clientes, proveedores, industria, entre otros.
Analizar el impacto
Para esta etapa la organización requiere establecer un panorama que le permita conocer la solidez de su infraestructura.
- Identificar los riesgos: Cualificar y cuantificar la probabilidad de que una amenaza pueda dañar los activos de información de acuerdo a su disponibilidad, confidencialidad e integridad.
- Calcular el nivel de riesgo: Para establecer prioridades de control para los riesgos es necesario calcular el nivel de riesgo por medio de la siguiente fórmula: (Riesgo = Probabilidad de ocurrencia * Impacto).
Gestionar del riesgo
En esta etapa se definirán las políticas que administrarán los controles adecuados para cada uno de los riesgos con el objetivo de asumirlo, reducirlo eliminarlo o transferirlo.
En conclusión, aunque la norma ISO 27001 está aplicada de forma general a la protección de cualquier tipo de información que resulte vital para la operación de la organización, este marco de buenas prácticas hace especial énfasis en el aseguramiento de los sistemas informáticos debido a la enorme implicación que tienen estos en todas y cada una de las actividades del negocio.
Si estás planeando o te encuentras en proceso de implantación/certificación de algún marco de buenas practicas, haz clic aquí, solicita una demo y conoce cómo openNAC soporta la implementación de la norma ISO 27001 en tu organización.